NVD脆弱性詳細

CVE-2016-1335

概要	The SSH implementation in Cisco StarOS before 19.3.M0.62771 and 20.x before 20.0.M0.62768 on ASR 5000 devices mishandles a multi-user public-key authentication configuration, which allows remote authenticated users to gain privileges by establishing a connection from an endpoint that was previously used for an administrator's connection, aka Bug ID CSCux22492.
公表日	2016年2月20日4:59
登録日	2021年1月26日14:07
最終更新日	2024年11月21日11:46

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:cisco:asr_5000_series_software:19.3.0:::::::*
cpe:2.3:a:cisco:asr_5000_series_software:18.4.0:::::::*
cpe:2.3:a:cisco:asr_5000_series_software:20.0.0:::::::*
cpe:2.3:a:cisco:asr_5000_series_software:17.7.0:::::::*
cpe:2.3:a:cisco:asr_5000_series_software:19.0.1:::::::*
cpe:2.3:a:cisco:asr_5000_series_software:16.5.2:::::::*

関連情報、対策とツール

No	URL	タグ
1	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160218-asr	Vendor Advisory
2	http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160218-asr	Vendor Advisory
3	http://www.securitytracker.com/id/1035062	Third Party Advisory VDB Entry
4	http://www.securitytracker.com/id/1035062	Third Party Advisory VDB Entry

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-264	認可・権限・アクセス制御	https://cwe.mitre.org/data/definitions/264.html

JVN脆弱性情報

Cisco ASR 5000 デバイス上で稼動する StarOS の SSH 実装における権限を取得される脆弱性

タイトル	Cisco ASR 5000 デバイス上で稼動する StarOS の SSH 実装における権限を取得される脆弱性
概要	Cisco ASR 5000 デバイス上で稼動する StarOS の SSH 実装は、マルチユーザの公開鍵の認証設定を誤って処理するため、権限を取得される脆弱性が存在します。ベンダは、本脆弱性を Bug ID CSCux22492 として公開しています。
想定される影響	リモート認証されたユーザにより、以前に管理者の接続に使用されていたエンドポイントからの接続を確立されることで、権限を取得される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2016年2月18日0:00
登録日	2016年3月15日16:52
最終更新日	2016年3月15日16:52

影響を受けるシステム

シスコシステムズ

Cisco ASR 5000 シリーズソフトウェア 19.3.M0.62771 未満

Cisco ASR 5000 シリーズソフトウェア 20.0.M0.62768 未満の 20.x

Cisco ASR 5000 シリーズソフトウェア 19.3.M0.62771 未満

Cisco ASR 5000 シリーズソフトウェア 20.0.M0.62768 未満の 20.x

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-1335	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1335
2	CVE-2016-1335	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-1335
National Vulnerability Database (NVD)
3	CVE-2016-1335	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1335
4	CVE-2016-1335	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1335

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html
2	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	名前	URL
Cisco Security Advisory
1	cisco-sa-20160218-asr	https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160218-asr
2	cisco-sa-20160218-asr	https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160218-asr

変更履歴

No	変更内容	変更日
0	[2016年03月15日] 掲載	2018年2月17日10:37
0	[2016年03月15日] 掲載	2018年2月17日10:37

構成1	以上	以下	より上	未満
cpe:2.3:a:cisco:asr_5000_series_software:19.3.0:::::::*
cpe:2.3:a:cisco:asr_5000_series_software:18.4.0:::::::*
cpe:2.3:a:cisco:asr_5000_series_software:20.0.0:::::::*
cpe:2.3:a:cisco:asr_5000_series_software:17.7.0:::::::*
cpe:2.3:a:cisco:asr_5000_series_software:19.0.1:::::::*
cpe:2.3:a:cisco:asr_5000_series_software:16.5.2:::::::*